黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版 本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 ，严重性评分为 10/10 。 xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招

心机黑客潜伏两年后向xz-utils添加后门 多个Linux发行版中招 日前该项目被发现存在后门，这些恶意代码旨在允许未经授权的访问，具体来说影响 xz-utils 5.6.0 和 5.6.1 版中，而且这些受影响的版本已经被多个 Linux 发行版合并。简单来说这是一起供应链投毒事件，攻击者通过上游开源项目投毒，最终随着项目集成影响 Linux 发行版，包括 Fedora Linux 40/41 等操作系统已经确认受该问题影响。恶意代码的目的：RedHat 经过分析后认为，此次黑客添加的恶意代码会通过 systemd 干扰 sshd 的身份验证，SSH 是远程连接系统的常见协议，而 sshd 是允许访问的服务。在适当的情况下，这种干扰可能会让黑客破坏 sshd 的身份验证并获得整个系统的远程未经授权的访问 (无需 SSH 密码或密钥)。RedHat 确认 Fedora Linux 40/41、Fedora Rawhide 受该问题影响，RHEL 不受影响，其他 Linux 发行版应该也受影响，具体用户可以在开发商网站获取信息。建议立即停止使用受影响版本：如果你使用的 Linux 发行版受上述后门程序影响，RedHat 的建议是无论个人还是商用目的，都应该立即停止使用。之后请查询 Linux 发行版的开发商获取安全建议，包括检查和删除后门程序、回滚或更新 xz-utils 等。孤独的开源贡献者问题：在这里还需要额外讨论一个开源项目的问题，xz-utils 尽管被全世界的 Linux 发行版、压缩软件广泛使用，但在之前只有一名活跃的贡献者在维护这个项目。这个孤独的贡献者可能因为精力不够或者其他原因，在遇到一名新的贡献者时，随着时间的推移，在获取信任后，这名新贡献者逐渐获得了项目的更多控制权。实际上这名黑客应该也是精心挑选的项目，知道这种情况下可能更容易获取控制权，于是从 2022 年开始就贡献代码，直到成为主要贡献者后，再实施自己的后门行动。未来这类针对开源项目的供应链攻击应该还会显著增加，这对整个开源社区来说应该都是头疼的问题。 ... PC版： 手机版：

XZ 发布 5.6.2 ，已移除先前后门代码

XZ 发布 5.6.2 ，已移除先前后门代码 两个月前，XZ 发布了紧急安全警报，指出 liblzma 中被植入了恶意代码，这是由一名不法分子通过混入 XZ 共同维护团队而添加的后门。XZ 的长期开发者 Lasse Collin 回归并重新掌舵，对之前的 XZ 提交进行了审计，并于今日发布了完全移除了后门的 XZ 5.6.2。 Lasse Collin 今天发布的 XZ 5.6.2 版本，已经清除了之前 v5.6 和 v5.6.1 版本中存在的 CVE-2024-3094 后门。 截至目前 XZ 后门事件仍在调查中 Lasse Collin 还宣布，Sam James 将成为 XZ 项目未来的支持维护者。 XZ 5.6.2 发布版本还包括一些错误修复、对最新 NVIDIA HPC SDK（编译器）的构建修复，以及移除了 GNU 间接函数（IFUNC）支持。IFUNC 支持曾被 XZ 后门利用，但移除此代码的原因是使用它带来的性能提升微乎其微，同时增加了很大的复杂性。今天还发布了包含各种错误修复的 XZ 5.4.7 和 XZ 5.2.13，但只有 XZ 5.6 系列受到了后门事件的影响。 消息来源: Xz项目地址:

XZ 5.6.2 释出，移除后门代码

XZ 5.6.2 释出，移除后门代码 （英文） 引发广泛关注的 XZ 后门事件两个月之后，项目维护者 Lasse Collin 释出了新版本 XZ 5.6.2，移除了 v5.6 和 v5.6.1 中的后门代码 CVE-2024-3094。他同时宣布了一位支持维护者 Sam James。对 XZ 后门事件的调查仍然在进行之中。XZ 5.6.2 还修复了一系列 bug，包括修复了用最新 NVIDIA HPC SDK 构建的问题，移除 GNU Indirect Function(IFUNC)支持，XZ 后门代码使用了 IFUNC 支持，但移除主要是因为性能优势太小但复杂性大幅增加。（全文完）

XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball

XZ 维护者之一 Jia Tan 在 GitHub 上发布的 XZ Utils 5.6.0 and 5.6.1 tarball 中包含了恶意后门代码。 如非特别标注，以下链接中内容均为英文。 ==== XZ 方面的信息，以及漏洞分析 ==== oss-security 邮件列表: debian-security-announce 邮件列表: XZ 主要维护者 Lasse Collin 的声明: FAQ by Sam James: Evan Boehs 的博客: Filippo Valsorda: Gynvael Coldwind: RHEA 关于时区的分析: ==== 新闻报道 ==== LWN: ==== 供应商方面的信息，主要是各大发行版和安全公告板 ==== CVE: NVD: MSRC: GitHub Advisory Database: Red Hat Customer Portal: Red Hat Blog: Red Hat Bugzilla: Debian Security Bug Tracker: Debian Bug: Kali Linux Blog: SUSE blog: SUSE Security: SUSE Bugzilla: openSUSE News: Gentoo's Bugzilla: Arch Linux News: Arch Linux Advisories: OpenWrt: ==== 忙着查资料的被子饼 ==== 目前的证据表明这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新 目前确定曾受影响的发行版： Debian unstable/testing/experimental between 2024-02-01 and 2024-03-29 Kali Linux between 2024-03-26 and 2024-03-29 Ubuntu noble-proposed/noble-release between 2024-02-26 and 2024-03-29 Fedora 40/41(Rawhide) between 2024-02-27 and 2024-03-29 openSUSE Tumbleweed/MicroOS between 2024-03-07 and 2024-03-28

Linux 内核更新 XZ 补丁移除维护者 Jia Tan

Linux 内核更新 XZ 补丁移除维护者 Jia Tan XZ 项目维护者 Lasse Collin 发布了一组补丁集，更新了内核的 XZ 代码，其中一项变化是将 Jia Tan 移除出维护者名单。Jia Tan aka JiaT75 是臭名昭著的 XZ 后门事件的幕后黑手，这个名字可能是一个伪装，未必是华裔，他或他们在该项目潜伏了三年之久，获取信任之后成为了维护者，然后悄悄植入了后门代码。他或他们的真实身份至今仍然是一个谜。补丁的其它变化包括了许可证从 Public Domain 迁移到 BSD Zero Clause License，更新了文档，新的 ARM64 和 RISC-V 过滤器等等。 via Solidot